Cloud-Computing in kritischen Infrastrukturen. Zwischen Dienstleistung für KRITIS-Betreiber und eigener kritischer Infrastruktur

Studienarbeit aus dem Jahr 2022 im Fachbereich Soziologie - Wirtschaft und Industrie, Note: 2,0, Universität Stuttgart (Institut für Sozialwissenschaften), Veranstaltung: Systemische Risiken, Sprache: Deutsch, Abstract: Die vorliegende Hausarbeit geht der Forschungsfrage nach, unter welchen Voraussetzungen Cloud-Dienstleister von KRITIS-Betreibern als kritische Infrastrukturen im sozio-technischen Sinne wahrzunehmen sind, bzw. ob die Einordnung von Cloudanbietern als KRITIS grundsätzlich gelten muss. Hierzu werden zunächst die zur Risikobestimmung maßgeblichen Merkmale kritischer Infrastrukturen ausgearbeitet und erläutert. Daran anschließend wird an den Forschungsgegenstand des Cloud-Computings herangeführt. Ferner werden die rechtlichen Grundlagen zur Identifikation von Cloud-Diensten als KRITIS-Dienstleister sowie als kritische Infrastruktur selbst beschrieben. In der Analyse findet die Untersuchung von Cloud-Systemen auf Anwendbarkeit der KRITIS-Eigenschaften am Fallbeispiel des Cloud-Computings für das Gesundheitssystem statt. 'Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen', so lautet es in Abs. 2 der Begründung der europäischen Datenschutzrichtlinie DSGVO. Doch das Verwalten und Sammeln personen- und geschäftsbezogener Daten auf Cloud-Speichern birgt Risiken, wie Datenverlust sowie deren Raub oder Spionage durch Dritte. Besonders Cloud-Dienste, die Einrichtungen kritischer Infrastrukturen (KRITIS) zu ihrem Kundenstamm zählen, stellen ein beliebtes Ziel von Cyberangriffen dar. Dass diese Attacken auf kritische Infrastrukturen fatale Folgen haben können, zeigten die beiden Hackerangriffe durch die Softwares 'NotPetya' und 'WannaCry' Mitte des Jahres 2017. So sorgte die WannaCry-Attacke in mehreren britischen Krankenhäusern für Systemausfälle, wodurch Patienten nicht mehr aufgenommen oder nicht behandelt werden konnten und somit Leben in Gefahr standen. Die darauffolgende Attacke durch NotPetya führte bei der Reederei Maersk zum Ausfall von 50.000 Rechnern, wodurch ein wirtschaftlicher Schaden im neunstelligen Bereich für das Unternehmen entstand; insgesamt lagen die globalen Verluste durch den Angriff schätzungsweise in Milliardenhöhe.